опубликовано

Краткое содержание редактора: Программное обеспечение с открытым исходным кодом (OSS) - это не только бесплатное внедрение такого программного обеспечения, но и огромный объем хорошей работы, проделанной программистами-добровольцами и аудиторами по всему миру, создавая хорошее программное обеспечение и компоненты кода, которые может принять любой. Согласно последнему отчету OSSRA (Open Source Security and Risk Analysis) за 2021 год, подготовленному Центром исследований кибербезопасности Synopsys (CyRC), многие отрасли широко и глубоко применяют OSS, в том числе маркетинговые технологии, здравоохранение, финансовые услуги, финансовые технологии, розничная торговля и электронная коммерция. Каковы же тогда риски при внедрении OSS? Релиз производителя представлен ниже.

Исследование Synopsys показывает рост уязвимых, устаревших и заброшенных компонентов с открытым исходным кодом в коммерческом программном обеспечении 

Анализ более 1,500 коммерческих кодовых баз показывает, что проблемы безопасности с открытым исходным кодом, соблюдения лицензионных требований и обслуживания распространены во всех отраслях промышленности.

СИНГАПУР, @mcgallen #microwireинфо, 14, 2021 апреля Synopsys, Inc, (Nasdaq: СНПС) сегодня выпустил 2021 Открытый код безопасности и анализа рисков (OSSRA) отчет. Отчет, подготовленный Центр исследований кибербезопасности Synopsys (CyRC) изучает результаты более 1,500 аудитов коммерческих кодовых баз, выполненных командой Black Duck® Audit Services. В отчете освещаются тенденции использования открытого исходного кода в коммерческих приложениях и содержится информация, которая помогает разработчикам коммерческих и открытых исходных кодов лучше понять взаимосвязанную программную экосистему, частью которой они являются. В нем также подробно описаны распространенные риски, связанные с неуправляемым открытым исходным кодом, включая уязвимости системы безопасности, устаревшие или заброшенные компоненты, а также проблемы с лицензионным соответствием.

В отчете OSSRA за 2021 год утверждается, что программное обеспечение с открытым исходным кодом обеспечивает основу для подавляющего большинства приложений во всех отраслях. Это также показывает, что эти отрасли, в той или иной степени, изо всех сил пытаются управлять рисками открытого исходного кода.

  • 100% компаний, прошедших аудит в секторе маркетинговых технологий, который включает CRM-систему для генерации лидов и социальные сети, имеют открытый исходный код в своих базах кода. 95% кодовых баз маркетинговых технологий содержат уязвимости с открытым исходным кодом.
  • 98% кодовых баз в секторе здравоохранения содержат открытый исходный код. 67% этих кодовых баз содержали уязвимости.
  • 97% кодовых баз сектора финансовых услуг / финансовых технологий содержат открытый исходный код. Более 60% этих кодовых баз содержали уязвимости.
  • 92% кодовых баз в секторе розничной торговли и электронной коммерции содержат открытый исходный код, а 71% кодовых баз в этом секторе содержат уязвимости.

Еще большее беспокойство вызывает широкое использование брошенных компонентов с открытым исходным кодом. Тревожный 91% кодовых баз содержал зависимости с открытым исходным кодом, которые не разрабатывались в течение последних двух лет, что означает отсутствие улучшений кода и исправлений безопасности.

«Неудивительно, что более 90% кодовых баз использовали открытый исходный код без каких-либо разработок за последние два года», - сказал Тим Макки, главный стратег по безопасности из Исследовательского центра кибербезопасности Synopsys. «В отличие от коммерческого программного обеспечения, в котором поставщики могут передавать информацию своим пользователям, успехи с открытым исходным кодом зависят от участия сообщества. Когда компонент с открытым исходным кодом внедряется в коммерческое предложение без этого участия, жизнеспособность проекта может легко ослабнуть. Осиротевшие проекты - не новая проблема, но когда они возникают, решение проблем безопасности становится намного сложнее. Решение простое - инвестируйте в поддержку тех проектов, от которых зависит ваш успех ».

Другие тенденции риска открытого кода, определенные в отчете OSSRA за 2021 год, включают:

  • Устаревшие компоненты с открытым исходным кодом в коммерческом программном обеспечении - это норма. 85% кодовых баз содержали зависимости с открытым исходным кодом, устаревшие более чем на четыре года. В отличие от заброшенных проектов, у этих устаревших компонентов с открытым исходным кодом есть активные сообщества разработчиков, которые публикуют обновления и исправления безопасности, которые не применяются их коммерческими потребителями. Помимо очевидных последствий для безопасности пренебрежения применением исправлений, использование устаревших компонентов с открытым исходным кодом может привести к громоздкому техническому долгу в виде проблем с функциональностью и совместимостью, связанных с будущими обновлениями.
  • Распространенность уязвимостей с открытым исходным кодом идет в неправильном направлении. В 2020 году процент кодовых баз, содержащих уязвимые компоненты с открытым исходным кодом, вырос до 84% - на 9% больше, чем в 2019 году. Точно так же процент кодовых баз, содержащих уязвимости высокого риска, подскочил с 49% до 60%. Некоторые из 10 основных уязвимостей с открытым исходным кодом, обнаруженных в кодовых базах в 2019 году, вновь проявились в ходе аудитов 2020 года, причем все они со значительным увеличением в процентном отношении.
  • Более 90% проверенных кодовых баз содержали компоненты с открытым исходным кодом с конфликтами лицензий, настроенными лицензиями или вообще без лицензии. 65% кодовых баз, проверенных в 2020 году, содержали конфликты лицензий на программное обеспечение с открытым исходным кодом, обычно связанные с Стандартной общественной лицензией GNU. 26% кодовых баз использовали открытый исходный код без лицензии или индивидуальной лицензии. Все три проблемы часто требуют оценки на предмет возможного нарушения прав интеллектуальной собственности и других юридических проблем, особенно в контексте сделок слияния и поглощения.

Чтобы узнать больше о потенциальных рисках, связанных с программным обеспечением с открытым исходным кодом, и о том, как с ними бороться, загрузите копию Отчет OSSRA за 2021 год, читайте блоге, или зарегистрируйтесь на 21 апреля Вебинар.

О группе обеспечения целостности программного обеспечения Synopsys

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на synopsys.com/software.

О компании Synopsys

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на synopsys.com.

###